今日运势评分

6

本月运势

丁丑月

震荡偏多

丁火为用，亥子丑三会水

丙不修灶必见灾殃
戌不吃犬作怪上床

宜

祭祀,解除,馀事勿取

忌

诸事不宜

月相

居待

底部反弹

日冲

Powered by RitMEX

注册/

PEPE0.00 -5.34%

SUI4.66 -5.51%

TON5.32 -5.07%

TRX0.24 -1.87%

DOGE0.40 -3.82%

XRP3.17 -2.59%

SOL241.05 8.97%

BNB700.55 -3.30%

ETH3279.56 -3.97%

BTC103132.70 0.26%

ETH Gas9.92 Gwei

贪婪

75

首页 深潮精选 Research 项目发现 7x24h︎快讯 最新活动

复盘：MOBOX 被黑分析

2024.03.20 - 304 天前

2024 年 3 月 14 日，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。

撰文：Doris

背景

2024 年 3 月 14 日，据慢雾 MistEye 安全监控系统预警，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。慢雾安全团队对该攻击事件展开分析并将结果分享如下：

(https://twitter.com/SlowMist_Team/status/1768167772230713410)

相关信息

攻击者地址：

0x4e2c6096985e0b2825d06c16f1c8cdc559c1d6f8

0x96f004c81d2c7b907f92c45922d38ab870a53945

被攻击的合约地址：

0xae7b6514af26bcb2332fea53b8dd57bc13a7838e

攻击交易：

0x4ec3061724ca9f0b8d400866dd83b92647ad8c943a1c0ae9ae6c9bd1ef789417

攻击核心

本次攻击的核心点主要有两个，其一是攻击者利用合约中的 borrow() 函数漏洞，每次调用该函数都会触发对推荐人地址的奖励分配。由于奖励的计算是基于转移的代币数量确定的，所以攻击者可以通过将给推荐人的奖励再次转回被攻击合约来增加下一次借款的数量。其二是每次调用 borrow() 函数会燃烧掉池子中的一部分 MO 代币，因此 MO 代币的价格被不断拉高，最终攻击者可以通过不断借款并叠加奖励获利。

交易分析

我们可以发现，整个攻击的流程主要是通过循环调用存在漏洞的 borrow() 函数，随后立即调用 redeem() 进行赎回，再将分配给推荐人的代币转移回攻击合约。

跟进 borrow() 函数进行分析，可以发现每次调用该函数都会燃烧掉池子中的部分 MO 代币。

然而借出去的 USDT 的数量是根据池子中的 MO 代币的价格进行计算的，由于 MO 代币的价格因为燃烧而不断的拉高，最终导致攻击者用少量的 MO 代币就能借出大量的 USDT 代币。

此外，每次借款都会给一个推荐人地址进行分红奖励，并且该函数是根据传入的 MO 代币的数量进行计算的。

然而由于推荐人地址也是由攻击者 (0x96f004c81d2c7b907f92c45922d38ab870a53945) 控制的，所以攻击者可以在完成借贷操作后，将这部分奖励转回来，以此叠加下一次借款的数量和分红奖励。

经过以上循环操作后，攻击者拉高了 MO 代币的价格，最终可以用极少数量的 MO 代币就能借出合约中的大额的 USDT，并且直接在失衡的池子中将 USDT 全部兑换出来，获利离场。

总结

本次攻击的核心在于攻击者利用 borrow() 函数会燃烧池子中部分代币的机制，不断借用资产，拉高池子中代币的价格并获取推荐人奖励，随后把代币转移回来并再次借用，以此不断叠加奖励和操控价格。慢雾安全团队建议项目方在类似功能函数中添加锁仓时间的限制，并且在设计借贷的价格模型时考虑多种因素，避免类似事件再次发生。

欢迎加入深潮TechFlow官方社群

Telegram订阅群：https://t.me/TechFlowDaily
Twitter官方账号：https://x.com/TechFlowPost
Twitter英文账号：https://x.com/DeFlow_Intern

原文链接

添加收藏

分享社交媒体

作者

慢雾科技@SlowMist_Team

相关文章

2025.01.17 - 昨天

公链乐高：联通 1 层和 0 层区块链，重塑市场格局

Cosmos 引入的新共识引擎 Supernova Core 有何来头？Cosmos 等公链还有机会吗？

公链

2025.01.17 - 昨天

BitsLab 重磅发布安全研究成果：2024 新兴公链安全全景洞察

该报告聚焦 Move、TON、比特币拓展以及 Cosmos 应用链4大方向，从技术创新、安全挑战、历史安全事件 3 个方向展开详细解读。

BitsLab

2025.01.17 - 昨天

欧盟 MiCA 法案生效，Web3 创业为何抢滩波兰？

波兰作为中东欧重要的经济体，拥有活跃的 Web3 用户群体和不断完善的监管框架，这些都为 Web3 企业提供了良好的发展机遇，令波兰成为 Web3 创业者愈发青睐的目的地。

波兰 MiCA

2025.01.17 - 昨天

Bitwise 首席执行官透露：一些国家正考虑用 BTC 替代传统债券

曾被视为投机资产的 BTC 正在真正进入政府的考虑范围。

Bitwise

2025.01.17 - 昨天

2025 年，以太坊还能「抢救」过来吗？

盘点以太坊的基本面。

以太坊

2025.01.17 - 昨天

加密律师给特朗普的联名公开信：如何让美国成为世界加密货币之都？

加密法律律师协会的成员列出了新特朗普政府为加密发展创造最佳环境的切实方法。

特朗普

2025.01.17 - 昨天

Binance 研究院 2024-25 总结展望：AI x Crypto 是值得关注的关键，NFT 项目发币不会都成功

在资金流入增加和可能推出新 ETF 产品的推动下，预计 2025 年将是加密 ETF 的标志性一年。

Binance

2025.01.17 - 昨天

Solana 的通胀模型修改提案，能助推 SOL 价格进一步上涨吗？

对SOL持有者有利、对验证者不利、对质押者持中性影响。

Solana

2025.01.17 - 昨天

Variant 投资合伙人：开源 AI 的困境与突破，为什么加密技术是最后一块拼图？

将开源 AI 与加密技术结合，可以支持更大规模的模型开发，并推动更多创新，从而创造出更先进的 AI 系统。

Variant AI

2025.01.17 - 昨天

加密早报：Phantom 完成 1.5 亿美元 C 轮融资，莱特币或为今年首个获批的山寨币 ETF

市场预期日本央行将于 1 月 24 日加息，或引发新一轮日元套利交易解除。

原创早报

7x24h 快讯︎更多

01月18日 21:08: Moonshot 登上苹果 App Store 美区免费金融类应用排行榜首

01月18日 21:00: 孙宇晨：特朗普发币说明加密监管将更加友好，已与特朗普达成合作

01月18日 20:52: Bitget 已上线 U 本位 TRUMP 永续合约

01月18日 20:38: Solana 生态 Meme 币 Fartcoin 突破新高，市值达 16.7 亿美元

01月18日 20:23: Solana 生态 Meme币 LLM 上涨90%，市值一度突破1亿美元

01月18日 19:41: TiTi：出于法律及合规要求，将禁止中国大陆用户参与TiTi代币交易

01月18日 19:35: 特朗普个人 Meme 币 TRUMP 今晚登陆 VOOX 交易所

01月18日 19:22: 或受 TRUMP 热潮影响，特朗普首个 NFT 系列 Trump Digital Trading Cards 24 小时交易量达 110 万美元

深潮精选更多

: Binance 研究院 2024-25 总结展望：AI x Crypto 是值得关注的关键，NFT 项目发币不会都成功
2025.01.17

: 解读 Indie 和 $BNTY：集游戏开发、融资和 AI 功能于一身的新平台
2025.01.17

: 2 小时速通 8000 万市值，新 AI 代币 AGIXT 有何过人之处？
2025.01.17

: Variant 投资合伙人：开源 AI 的困境与突破，为什么加密技术是最后一块拼图？
2025.01.17

: 加密早报：Phantom 完成 1.5 亿美元 C 轮融资，莱特币或为今年首个获批的山寨币 ETF
2025.01.17

TechFlow Selected深潮精选

复盘：MOBOX 被黑分析

2024 年 3 月 14 日，Optimism 链上的去中心化借贷协议 MOBOX 遭攻击，损失约 75 万美元。

2024.03.20

专注Web3行业深度报道，洞察潮水流动的方向

我要投稿

Hainan Chaodong Technology Co., Ltd. 联系我们 / support@techflowpost.com 琼ICP备2022009338号

FOLLOW US

扫码关注公众号